ecco come, tutti i dettagli

La sicurezza assoluta nel mondo dell’informatica non esiste, tuttavia ci sono accorgimenti che possono eliminare il “ragionevole dubbio” per cui ciò che si sta utilizzando non sia in realtà in grado di difendere la privacy dell’utente. In questo caso, benché alcuni dubbi sussistano in seno a tecnici che ritengono le ombre residue non proporzionate alla reale utilità del contact tracing, il ragionevole dubbio sembra ridotto al lumicino. Più che altro ognuno dovrà scegliere in propria coscienza cosa prevalga nella scelta sull’utilizzo dell’app Immuni: la difesa della privacy (nonostante tutto quanto posto in essere a tutela della stessa) o la difesa della salute pubblica (nonostante screzi tra virologi che rischiano di frammentare l’opinione pubblica in modo ben poco costruttivo).

Su questa frizione tra due pulsioni opposte – entrambe lecite, entrambe opportune, entrambe rispettabili – sarà costruita la bontà di un sistema che, una volta ben strutturato, potrà tornare utile anche in occasione di future emergenze similari. Il rapporto fiduciario tra cittadini, Stato e app sarà un elemento di fondamentale importanza per il destino del progetto ed il suo ruolo nella lotta italiana al contenimento dei contagi.

Ecco come Immuni difende la privacy

L’app Immuni ha ottenuto il via libera dal Garante Privacy ed il codice è disponibile all’analisi di quanti, forti di competenze tecniche sufficienti, sono in grado di analizzarne le dinamiche e le possibili vulnerabilità. Questo lavoro sarà anzi estremamente utile, proprio per fugare eventuali sviste che possano compromettere il funzionamento del sistema e la fiducia collettiva nel progetto.

Il Garante Privacy ha tenuto in piedi alcune riserve per sincerarsi che tutto fosse posto in essere nel migliore dei modi, con la migliore informativa possibile e tale da massimizzare la consapevolezza sul meccanismo da parte dei cittadini italiani. Queste le garanzie fornite dall’app:

Dati che Immuni, quindi, NON raccoglie nel modo più assoluto in virtù del fatto che in fase di installazione non è richiesta alcuna registrazione:

• Cognome, nome o data di nascita
• Numero di telefono
• Indirizzo email
• Identità delle altre persone incontrate
• Posizione o movimenti

Se per qualsivoglia motivo tali dati fossero intercettati e gestiti, le conseguenze saranno quelle minacciosamente tracciate dal Garante Privacy:

Il Garante ha sottolineato infine che il trattamento di dati personali raccolti attraverso la app, da parte di soggetti non autorizzati, può determinare un trattamento di dati personali illecito, eventualmente anche sotto il profilo penale.

L’unica informazione esplicitamente richiesta è relativa alla provincia di domicilio, poiché è con quest’ultima che il cittadino dovrà interagire in caso di contagio. Chi porta avanti la critica rispetto alle misure poste in essere dall’app, nota come i dati possano passare su server non italiani (benché infine conservati su server insistenti sul territorio italiano) e come l’indirizzo IP sia un dato rilevato e gestito mentre se ne sarebbe potuto fare a meno. L’opportunità di tale osservazione trova rispondenza nelle raccomandazioni del Garante che su questo fronte vorrebbe vederci più chiaro e che esplicita pertanto limiti specifici:

Occorre quindi commisurare i tempi di conservazione nella misura strettamente necessaria al rilevamento di anomalie e di attacchi. Ciò, in quanto gli indirizzi IP sono dati personali e possono costituire quell’informazione aggiuntiva che, collegata ai dati raccolti, in determinate circostanze consente l’identificazione degli utenti.

Come sono tracciati i contatti

In fase di installazione non è richiesto alcun dato personale, né si fornisce permesso alcuno oltre all’attivazione del Bluetooth (fondamentale per il tracciamento degli altri dispositivi nelle vicinanze). Come può dunque funzionare il meccanismo e come si possono ricevere le notifiche sugli avvenuti contatti pericolosi? Il funzionamento è ben spiegato nell’analisi dell’app offerta dal Garante Privacy, la cui disamina ha approfondito nel dettaglio ogni singolo passaggio per procedere infine ad una approvazione nella quale si ritengono opportunamente “proporzionate” le misure poste in essere a tutela dei dati personali.

L’analisi introduce due elementi fondamentali per comprendere il funzionamento di Immuni:

• TEK: Temporary Exposure Key
• RPI: Rolling Proximity Identifier

Una volta installata l’app, spiega il Garante, “viene generata, in modo casuale, mediante algoritmi crittografici, una chiave temporanea (composta da 128 bit) denominata TEK (Temporary Exposure Key) che varia con frequenza giornaliera. A partire da ogni TEK, ogni 10 minuti, viene generato un identificativo di prossimità del dispositivo mobile (composto da 128 bit), denominato RPI (Rolling Proximity Identifier). Da ogni TEK possono essere generati 144 RPI a essa corrispondenti, mentre in presenza del solo RPI non è possibile risalire alla TEK da cui è stato generato“.

E continua: “Tali RPI vengono diffusi in modalità broadcast e sono ricevuti da altri dispositivi raggiungibili mediante interfaccia bluetooth, producendo di fatto, in caso di sufficiente prossimità, uno scambio reciproco di RPI tra i dispositivi su cui è installata l’app Immuni, registrandoli automaticamente nella loro memoria locale, unitamente ad altri dati accessori (metadati quali la data, la durata e la distanza del contatto). In tal modo, sul dispositivo di ogni utente sono memorizzate la lista delle proprie TEK (aggiornata quotidianamente) e la lista degli RPI dei dispositivi degli altri utenti con cui si è entrati in contatto“.

Tutti i dati prodotti, sia di tipo TEK che RPI, sono cancellati al termine di un periodo di 14 giorni, ossia quanto presumibilmente logico per far emergere un contagio, registrarlo e segnalarlo a quanti in “contatto” nelle settimane antecedenti.

Altra precisazione molto interessante è relativa alla modalità con cui procedono le autorità sanitarie per la registrazione volontaria degli account contagiati. Questa la procedura nel dettaglio:

•  l’operatore chiederà allo stesso se voglia rendere disponibili le proprie TEK al fine di allertare del rischio di contagio gli utenti con cui è entrato in contatto stretto nei giorni precedenti la diagnosi o la manifestazione dei sintomi;
• qualora il paziente voglia procedere in tal senso, l’operatore sanitario richiede allo stesso di aprire l’app e di utilizzare la funzione di generazione del codice OTP (One Time Password), composto da 10 caratteri. Il paziente comunica tale codice OTP all’operatore sanitario e attende l’autorizzazione per effettuare il caricamento (c.d. upload) delle proprie TEK;
• l’operatore sanitario, utilizzando una specifica funzionalità resa disponibile sul Sistema TS, inserisce il codice OTP e la data di inizio dei sintomi forniti dal paziente, che vengono così trasmessi al backend di Immuni. Entro un limitato intervallo temporale (2 minuti e 30 secondi), il paziente dovrà completare la procedura di caricamento delle TEK generate sul proprio dispositivo negli ultimi 14 giorni, che sono trasmesse al backend di Immuni che, previa verifica dell’OTP, le elabora per individuare, sulla base della data di inizio dei sintomi, solo le TEK generate nei giorni in cui il paziente, sulla base della data di insorgenza dei sintomi dichiarata, deve essere considerato contagioso.

Tale procedura consente all’autorità sanitaria di aggiornare l’archivio delle TEK positive. Ogni 4 ore circa le app Immuni verificano le nuove TEK caricate e procedono al raffronto con gli RPI conservati in loco: qualora venga registrata una corrispondenza, significa che tra i contatti avuti negli ultimi 14 giorni ce n’è uno considerato pericolo perché ravvicinato, perché prolungato, perché avvenuto con un utente positivo al tampone e perché alla data del contatto l’utente positivo già avvertiva i primi sintomi.

Tale raffronto viene effettuato a livello locale attraverso l’algoritmo messo a disposizione dal Framework A/G che sulla base di alcuni parametri quali la durata del contatto e la distanza tra i dispositivi su cui è installata l’app (rilevata mediante l’intensità del segnale bluetooth), calcola l’indice di rischio di contagio (Total Risk Score) per ogni eventuale contatto rilevato. Se tale indice di rischio supera una soglia predefinita, l’app mostra all’utente un messaggio di allerta sulla possibile esposizione al contagio (c.d. notifica di esposizione), per essere stato un contatto stretto di un soggetto accertato positivo al Covid-19 (“Il giorno TOT sei stato vicino a un caso COVID-19 positivo”). Il messaggio invita quindi l’utente ad adottare alcune regole di comportamento, nonché a contattare il proprio medico di medicina generale/pediatra di libera scelta, che a sua volta provvederà a contattare il Dipartimento di prevenzione della Azienda sanitaria locale territorialmente competente.

Tra gli indici più importanti nelle valutazioni statistiche relative al possibile contagio v’è il cosiddetto “Exposure Detection Summary“, ossia una serie di informazioni che, combinate, consentono di porre in evidenza il grado di rischio che un certo utente (e una certa comunità) stanno sperimentando. Tale indice contempla valutazioni quali:

• numero di contatti a rischio rilevati;
• numero di giorni trascorsi dall’ultimo contatto a rischio;
• durata aggregata dei contatti a rischio (misurata in multipli di 5 min. fino a un massimo di 30 min.), distinta per tre intervalli di intensità del segnale bluetooth (c.d. attenuation);
• indice di rischio più elevato tra quelli relativi ai contatti a rischio.

Insomma: tutto è stato posto in essere per ridurre i falsi positivi, rendendo il servizio non certamente valido in termini assoluti, ma ragionevolmente utile alle finalità per cui è stato sviluppato.